Mit Wildcard * Datei lokalisieren

Fragen und Diskussionen rund um Internet, Software und PC
Benutzeravatar
Tommy Herrmann
Site Admin
Site Admin
Beiträge: 5744
Registriert: So 6. Dez 2020, 07:37
Wohnort: Berlin
Kontaktdaten:

Mit Wildcard * Datei lokalisieren

Ungelesener Beitrag von Tommy Herrmann »

Hallo,

ich hatte schon vor langer Zeit mal feststellen müssen, dass es für mich kein Problem ist eine umbenannte Datei dennoch am Server zu finden.

Kann es sein, dass das nur geht, wenn man kein SSL-Zertifikat verwendet (also kein HTTPS). Es geht bei mir eben auch nur bei einer Domain ohne so ein Zertifikat.

Es wird immer wieder von anderen empfohlen die Projekt-Datei von Mobirise umzubenennen, damit man eben die dort eventuell sensiblen Daten nicht durch einfachen Download einsehen kann.

Ich empfehle das nicht, ich habe immer empfohlen diese Datei entweder am Server zu löschen oder (besser) über eine .htaccess Datei zu schützen. Es kann nämlich sehr wichtig werden, diese Datei am Server in aktueller Form zu haben.

Beispiel:

Ich benenne die Datei: "project.mobirise" am Server um in:

project.mobirise.20230305

Ich habe diese Datei nun so auf meinen Server kopiert und suche mit dem Wildcard Zeichen "Stern" * danach:

http://www.tommyherrmanndesign.com/project.mobirise*

... wie man sieht, finde ich diese auch sogleich:


Wildcard Suche.jpg


Weiß jemand warum das so ist?

Liegt das tatsächlich an dem fehlenden Zertifikat oder woran?

Es ist so jedenfalls bei meinem Server "1&1 IONOS" problemlos möglich und somit eine große Gefahr für alle die kein SSL verwenden - also noch nur ein HTTP vorne in der URL stehen zu haben.

In dieser Projekt-Datei stehen nämlich teilweise sensible Informationen, wie z.B. die Passwörter wenn man PHP-Skripte eingebaut hat.
Benutzeravatar
Volker
Moderator
Moderator
Beiträge: 828
Registriert: Sa 12. Dez 2020, 22:35
Wohnort: Wildberg
Kontaktdaten:

Re: Mit Wildcard * Datei lokalisieren

Ungelesener Beitrag von Volker »

Wenn ich Dateien auf meinem Server suche nutze ich die Suchfunktion von Filezilla dafür.
Da ich nur https auf jeder Domain habe, kann ich da keine Probleme bestätigen. Findet immer alles :)
filezilla_suche.png
Man könnte auch mit dem Windows Explorer suchen ;) Geht auch
Gruß Volker
Benutzeravatar
Tommy Herrmann
Site Admin
Site Admin
Beiträge: 5744
Registriert: So 6. Dez 2020, 07:37
Wohnort: Berlin
Kontaktdaten:

Re: Mit Wildcard * Datei lokalisieren

Ungelesener Beitrag von Tommy Herrmann »

Volker,

ich denke, Du hast mich komplett missverstanden :crying:

Es geht um die Suche am Browser im Internet auf einer fremden Domain um diese zu hacken, also in diesem Fall um die Suche nach der Mobirise Projekt-Datei einer fremden Domain, denn dort können verschiedene sensible Daten drinnen stehen.
Klaus
Supporter
Supporter
Beiträge: 440
Registriert: Mi 21. Jul 2021, 00:43

Re: Mit Wildcard * Datei lokalisieren

Ungelesener Beitrag von Klaus »

Ist glaube das war eine Einstellung vom WebServer und kann über eine .htaccess abgeschaltet werden.

Options -MultiViews

Hatten wir mal beim Bildschutz verwendet (ganz unten am Ende der Seite).
http://www.tommyherrmanndesign.com/nof/ ... orial.html

https://httpd.apache.org/docs/current/c ... ation.html
( https://www.ionos.de/hilfe/hosting/htac ... direktiven )
Benutzeravatar
Tommy Herrmann
Site Admin
Site Admin
Beiträge: 5744
Registriert: So 6. Dez 2020, 07:37
Wohnort: Berlin
Kontaktdaten:

Re: Mit Wildcard * Datei lokalisieren

Ungelesener Beitrag von Tommy Herrmann »

Moin Klaus,

danke - ja - das kann gut sein.

Dann ist aber das Umbenennen solche sensiblen Dateien am Server eher ein großes Risiko, zumal die meisten Leute sicher nicht wissen wie das eingestellt ist.

Ihnen wird gesagt, sie sollen die Datei umbenennen und dann gehen sie davon aus, dass die von niemandem gefunden werden kann.
Benutzeravatar
Volker
Moderator
Moderator
Beiträge: 828
Registriert: Sa 12. Dez 2020, 22:35
Wohnort: Wildberg
Kontaktdaten:

Re: Mit Wildcard * Datei lokalisieren

Ungelesener Beitrag von Volker »

Sorry falsch verstanden :(

Aber wenn jemand die Dateien eines Webservers haben will, dann bekommt er sie auch ;)
Ob Du die umbenennst ist dabei ja Jacke wie Hose ;)

Kennst Du den hier : WinHTTrack Website Copier

Damit holst Du alle Dateien die nicht geschützt sind lokal auf Deinen Rechner :D
Ein Webserver ist ja öffentlich und alle Dateien sind frei zugänglich - sonst wäre es ja nicht das Internet :D
Gruß Volker
Klaus
Supporter
Supporter
Beiträge: 440
Registriert: Mi 21. Jul 2021, 00:43

Re: Mit Wildcard * Datei lokalisieren

Ungelesener Beitrag von Klaus »

Was am WebServer liegt kann auch gefunden werden uns sei es per "Durchrattern" von Listen.

... hatte ja auch schon mal geschrieben dass die wenigsten wissen dass es bei Strato einen "Hintereingang" gibt.
Jede root vom Hostingaccount ist zusätzlich zu den aufgeschalteten Domains auch per Master-ID wie z.B. hier über
5123456789.swh.strato-hosting.eu erreichbar.
D.h. falls die eigentlichen Domain z.B. so angelegt wurden
./public/example.com
./public/sub.example.com
und die http Seiten dann erst unter ./public/* beginnen so kann das aus der root aber doch über die Master-ID-URL gelesen werden ... ja Strato hat da extra ne robots.txt geschaltet aber finden kann man es.
Benutzeravatar
Tommy Herrmann
Site Admin
Site Admin
Beiträge: 5744
Registriert: So 6. Dez 2020, 07:37
Wohnort: Berlin
Kontaktdaten:

Re: Mit Wildcard * Datei lokalisieren

Ungelesener Beitrag von Tommy Herrmann »

Deswegen verwende ich ja diese .htaccess Datei:

Code: Alles auswählen

<Files *.mobirise>
      order allow,deny
      deny from all
</Files>
... ob das zu 100% sicher ist, weiß ich auch nicht - denke aber schon.
Antworten

Wer ist online?

Mitglieder in diesem Forum: Volker und 11 Gäste